Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Cimiteri digitali e dati personali: il caso AldilApp

Cimiteri digitali e dati personali: il caso aldilapp tra finalità pubbliche, derive commerciali e (poca) pace eterna

Scarica PDF Stampa

Il Garante per la protezione dei dati personali, con una serie coordinata di provvedimenti adottati nei confronti della società Stup S.r.l. – distributrice dell’applicazione “Aldilapp” in Italia – nonché dei Comuni di Ancona e Velletri e dei rispettivi gestori dei servizi cimiteriali, è intervenuto su una questione che, pur presentando profili tecnologicamente innovativi, si colloca al centro di principi giuridici tutt’altro che nuovi: la delimitazione delle finalità del trattamento, la trasparenza nei confronti degli interessati e la corretta qualificazione dei ruoli privacy.
Il caso – documentato nei provvedimenti nn. 10225195, 10225650, 10225673, 10225225 e 10225702 – riguarda l’utilizzo di una piattaforma digitale che consente agli utenti, previa registrazione, di individuare il luogo di sepoltura dei defunti nei cimiteri aderenti, nonché di accedere a funzionalità ulteriori, di natura sociale e commerciale.
Già il nome dell’applicazione, “Aldilapp”, tradisce una certa ambizione di coniugare sacro e digitale con una leggerezza lessicale che, se può strappare un sorriso, non sembra accompagnata da un’adeguata consapevolezza giuridica delle implicazioni sottese. Il problema, tuttavia, non è semantico, ma strutturale. In materia di privacy, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

Indice

1. La costruzione automatica dei “profili digitali” dei defunti


Elemento centrale della vicenda è la creazione automatica, da parte della piattaforma, di veri e propri “profili digitali” dei defunti, generati utilizzando i database comunali. Su tali profili gli utenti potevano pubblicare dediche, accendere ceri virtuali visibili pubblicamente e accedere a servizi commerciali collegati (fornitura di fiori, manutenzione delle tombe, ecc.).
Sotto il profilo giuridico, il primo nodo riguarda la qualificazione dei dati trattati. È noto come il GDPR non si applichi ai dati delle persone decedute (considerando 27), ma ciò non esaurisce il perimetro della tutela. I dati relativi ai defunti sono infatti frequentemente idonei a riflettere informazioni riferibili a soggetti viventi (familiari, congiunti, visitatori), determinando un intreccio tra memoria digitale e diritti fondamentali ancora pienamente attuali.
In tale contesto, la creazione automatica di profili a partire da banche dati pubbliche introduce una questione ulteriore: la trasformazione di un’informazione amministrativa (localizzazione della sepoltura) in contenuto relazionale e, in prospettiva, commerciale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.

VOLUME

Formulario commentato della privacy

La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

 

Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025

58.90 €

Scopri di più

2. La commistione tra finalità istituzionali e servizi privati


Il Garante ha individuato il cuore della criticità nella scelta architetturale di utilizzare un’unica piattaforma per erogare:

  • un servizio istituzionale, riconducibile ai compiti dei Comuni (informazione sull’ubicazione delle sepolture);
  • funzionalità “social”, quali la pubblicazione di contenuti e interazioni tra utenti;
  • servizi commerciali, connessi alla cura e gestione delle tombe.

Tali dimensioni risultavano “inscindibilmente connesse”, con la conseguenza di determinare un’estensione del trattamento dei dati ben oltre le finalità originarie per le quali i database cimiteriali erano stati costituiti.
Il riferimento normativo è immediato: l’art. 5, par. 1, lett. b) GDPR impone che i dati siano raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo compatibile con tali finalità. L’utilizzo dei dati comunali per alimentare una piattaforma a vocazione sociale e commerciale si pone in evidente tensione con tale principio, così come con quello di minimizzazione (art. 5, par. 1, lett. c)).
Ma vi è un profilo ulteriore, forse ancora più rilevante: la creazione, negli utenti, di una legittima aspettativa circa la natura pubblica del trattamento. La presenza del servizio istituzionale all’interno della medesima interfaccia induce infatti a ritenere che l’intero ecosistema sia riconducibile al Comune, con conseguente offuscamento dei confini tra titolarità pubblica e iniziativa privata.

3. Trasparenza e ruoli: un deficit di governance


Il Garante ha altresì rilevato criticità nella regolamentazione dei rapporti tra i soggetti coinvolti, nonché nella trasparenza delle informazioni fornite agli utenti.
Sotto il profilo della governance, la vicenda richiama direttamente gli artt. 24 e 28 GDPR: la corretta individuazione dei ruoli (titolare, contitolare, responsabile) non costituisce un adempimento formale, ma incide sulla struttura stessa del trattamento e sulla distribuzione delle responsabilità.
Nel caso di specie, la sovrapposizione funzionale tra enti pubblici e soggetto privato, unita all’assenza di una chiara separazione delle finalità, ha determinato un assetto difficilmente riconducibile agli schemi tipici previsti dal Regolamento.
Quanto alla trasparenza (art. 5, par. 1, lett. a) e artt. 12 e ss. GDPR), la commistione tra servizi ha reso opaco il quadro informativo, impedendo agli utenti di comprendere pienamente chi trattasse i dati, per quali finalità e con quali basi giuridiche.

4. Privacy by design e misure tecniche: un’assenza strutturale


Non meno rilevante è il rilievo concernente l’inadeguatezza delle misure tecniche e organizzative.
La scelta di integrare, sin dall’origine, funzionalità eterogenee all’interno della medesima piattaforma evidenzia un deficit di progettazione conforme all’art. 25 GDPR (protezione dei dati fin dalla progettazione e per impostazione predefinita). La creazione automatica dei profili digitali dei defunti rappresenta, in tal senso, una impostazione “by default” difficilmente compatibile con i principi di minimizzazione e limitazione della finalità.
In altri termini, non si è in presenza di un errore contingente, ma di una architettura che incorpora, sin dall’inizio, una estensione indebita del trattamento.

5. Le misure correttive e le sanzioni


Alla luce delle criticità riscontrate, l’Autorità ha disposto:

  • la cancellazione dei profili digitali creati automaticamente e delle relative interazioni;
  • la netta separazione tra servizi istituzionali e servizi social/commerciali;
  • il rafforzamento delle misure di sicurezza e trasparenza;
  • il divieto di utilizzare i database comunali per finalità ulteriori rispetto a quelle istituzionali.

I servizi ulteriori potranno essere erogati dalla società esclusivamente su richiesta degli utenti e senza l’impiego dei dati provenienti dalle banche dati cimiteriali.
Le sanzioni irrogate – pari a 6.000 euro per Stup, 3.000 euro per il Comune di Ancona, 2.000 euro per il Comune di Velletri e 2.500 euro per i gestori cimiteriali – risultano di importo contenuto, in considerazione della natura innovativa del servizio, dell’assenza di reclami e della collaborazione prestata nel corso dell’istruttoria.

6. Banche dati pubbliche e derive funzionali: un problema sistemico


La vicenda Aldilapp offre uno spunto di riflessione che trascende il caso specifico.
Le banche dati pubbliche, specie a livello locale, rappresentano un patrimonio informativo di straordinaria rilevanza. La loro apertura a servizi digitali innovativi costituisce, in linea di principio, un fattore positivo. Tuttavia, l’ibridazione con piattaforme private, caratterizzate da logiche social e commerciali, espone a un rischio preciso: la progressiva “deriva funzionale” del dato.
Un’informazione raccolta per finalità amministrative può essere trasformata, quasi impercettibilmente, in contenuto relazionale, e quindi monetizzabile. In questo passaggio, ciò che si perde non è soltanto il controllo giuridico, ma anche la coerenza tra funzione pubblica e utilizzo effettivo del dato.
E qui il tema si fa anche simbolico. Il cimitero, per definizione, è luogo di memoria, raccoglimento e rispetto. La sua trasposizione in ambiente digitale non è neutra: comporta scelte di design, di linguaggio e di monetizzazione che incidono sulla percezione stessa di tali spazi.
Non è necessario indulgere in facili moralismi per cogliere la frizione: l’idea che la visita a una tomba possa trasformarsi, senza soluzione di continuità, in un’esperienza social arricchita da servizi commerciali pone interrogativi che vanno oltre il perimetro strettamente normativo.
E, in effetti, il provvedimento del Garante sembra ricordare un principio tanto semplice quanto spesso disatteso: non tutto ciò che è tecnicamente possibile è giuridicamente lecito, e non tutto ciò che è lecito è opportuno.
In questo senso, la vicenda lascia un’impressione precisa: che, almeno sul piano digitale, non vi sia pace nemmeno tra gli ulivi. E che, prima di trasformare anche l’aldilà in piattaforma, sarebbe opportuno interrogarsi – con un minimo di rigore giuridico e, forse, anche con una certa misura – su quali dati si trattano, perché, e a quale prezzo.

Formazione in materia per professionisti


Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamente applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Videosorveglianza e accertamento delle infrazioni: il caso Mazara del Vallo

Videosorveglianza e accertamento delle infrazioni: il caso Mazara del Vallo tra legalità del trattam…

Luisa Di Giacomo 19/03/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI e Legaltech
Privacy e Cybersecurity
Cybersecurity, fattore umano e manipolazione psicologica – La recensione della settimana

Guida innovativa alla psybersecurity: tra AI, social engineering e fattore umano, per comprendere e …

Recensioni 18/03/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Riconoscimento facciale nei corsi online: sanzione a eCampus

Il Garante privacy sanziona eCampus per l’uso del riconoscimento facciale nei corsi online e ribadis…

Luisa Di Giacomo 05/03/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Nuove Linee Guida MIT sulla digitalizzazione: la gestione informativa degli appalti

Nuove Linee guida MIT sulla gestione informativa digitale: come cambiano progettazione, controllo e …

Luisa Di Giacomo 04/03/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;